OTP의 진화, AutoOTP는 장치 독립성 및 중간자 공격을 무력화한다
최근 OTP(One Time Password) 기술의 최대 장점인 기기 독립성을 유지하면서도, 중간자 공격에 취약하지 않은 AutoOTP 기술이 개발되어 화제가 되고 있다.
OTP 기술은 사용자가 일회용 비밀번호를 온라인 서비스에 제출하고 온라인 서비스가 이를 검증하는 기술이다. 지문인증이나 안면인증 같은 생체인증 기술과 달리 스마트폰이나 PC별로 사용자 생체정보를 재등록할 필요가 없어 PC, 모바일, ATM 기기 등 여러 기기에서 업무를 처리해야 하는 은행 같은 곳에서 꾸준히 사용하고 있다. OTP 기술은 기기 독립적인 장점과 함께 같은 패스워드를 재사용하지 않는다는 보안성을 갖고 있으나, 사용자가 무심결에 가짜 온라인 시스템에 접속하여 OTP 코드를 입력하는 경우 일회용 비밀번호라 하더라도 OTP 코드가 도용될 수 있는 취약점과 사용자가 매번 6자리 일회용 코드를 읽어서 입력해야 하는 불편함이 지적되어 왔다.
이러한 OTP 인증기술의 보안 측면 한계점과 불편성을 개선하고자 AutoOTP 기술이 국내외 표준화 기구를 통해서 대두되고 있다. AutoOTP 기술은 사용자가 온라인 서비스에 OTP를 입력하고 온라인 서비스가 이를 검증하는 것이 아니라 온라인 서비스가 사용자에게 자동 OTP 값을 제시하고, 사용자가 이를 AutoOTP 모바일앱을 통해서 검증하는 인증 기술이다.
사용방식이 사용자가 OTP 코드를 입력하는 것이 아니라 온라인 서비스가 자동 OTP 코드를 제시하고 사용자가 이를 검증하기 때문에 현재 접속한 온라인 서비스가 정당한 온라인 서비스인지 확인할 수도 있고, 사용자가 불편하게 OTP 코드를 읽고 입력할 필요가 없어진다. 서비스 제공자 측면에서도 서비스 기기별로 다양한 인증수단을 운영할 필요가 없어 멀티채널 서비스를 운영하는 서비스 제공자 관점에서도 업무 효율 향상 효과를 가져오게 된다.
뛰어난 사용성과 보안성 때문에 이미 AutoOTP 기술은 한국 내 주요 은행, 정부 기관, 민간 기업 등에서 사용하고 있다.
전 세계 OTP 기술 표준을 제정한 Oath initiative의 돈 말로이 회장은 “AutoOTP는 종래 OTP가 가진 매체 독립적인 보편성을 갖고 있으면서도, 중간자 공격에 대비된 차세대 인증 기술로 향후 적용 및 확산 가능성이 매우 높다” 고 평가하였고, “전 세계 사이버 보안을 위해서 OTP 기술과 함께 AutoOTP 기술 보급에 힘쓰겠다”고 말했다.
한편, AutoOTP 기술을 제공하는 (주)듀얼오스 관계자에 따르면, “정부 기관, 금융권 등을 기반으로 확산하고 있는 AutoOTP 기술을 국내외 표준화 일정에 맞추어서 일반인과 모든 온라인 서비스 사업자들이 자유롭게 이용할 수 있도록 프리웨어로 출시할 계획”이라고 밝혔다.